Ciberseguridad

23/04/2026

MoTo: una operativa residual con un alto riesgo de fraude

Los pagos MoTo (Mail Order/ Telephone Order) son aquellos en los que tienes que decir los datos de tu tarjeta por teléfono o enviarlos por correo para que el comercio los introduzca manualmente. Sin elementos de seguridad básicos. Sin CHIP, sin CVV exigido, sin biometría, y sin doble factor (SCA).

¿Por qué es tan arriesgado?

Porque MoTo reúne todos los ingredientes ideales para el fraude:

  • Es un pago no presencial sin verificación del titular (autenticación reforzada “SCA”).

  • En muchos comercios ni siquiera se solicita el CVV: basta el PAN y la fecha de caducidad.

  • Los datos se teclean a mano, con los riesgos que eso implica.

 

Características: Pagos MoTo:
Cliente presente No
Captura de datos Dictados por teléfono o correo
Validación CVV No existe
Verificación del titular / SCA No existe
Riesgo de fraude Muy alto

 

Mientras la seguridad de los pagos evoluciona con el uso de biometría, tokenización, wallets, etc…MoTo sigue funcionando como una puerta trasera para el fraude: si un defraudador obtiene los datos básicos de tu tarjeta (algo por desgracia común), puede pagar en cualquier comercio que acepte MoTo sin que notes nada hasta que revises el extracto de tu tarjeta.

Historia real: un fraude de más de 2 millones de euros fue cometido mediante la venta telefónica de falsos bonos de hotel, aprovechando la facilidad de uso de MoTo.

 

Un método residual… pero aún muy presente

Aunque pueda sonar a algo del pasado, MoTo se utiliza más de lo que debería. Está presente en sectores de actividad como viajes o entretenimiento, pero también en comercio minorista, restauración o apuestas.

Muchos comercios lo mantienen porque reduce la fricción (ni CVV, ni doble factor) y eso aumenta la conversión.

 

El coste oculto:

  • El comercio asume el fraude.
  • El usuario queda igualmente expuesto.

Incluso en experiencias cotidianas se nota. Por ejemplo, hace poco quise reservar una habitación en un hotel: al no disponer de web tuve que llamar.

Cuando me pidieron los datos de la tarjeta, dudé: ¿quién me garantiza que esa persona no los use para otra cosa? Al final pagué, pero con una sensación bastante poco tranquilizadora.

Los datos del sector muestran que, pese a representar apenas un 1% de la operativa total, MoTo concentra alrededor del 10% del fraude confirmado anual. Un desbalance difícil de justificar.

 

Pago MoTo

¿Hay alternativas? Sí, y muy buenas

Lo sorprendente es que MoTo continúe existiendo cuando existen opciones más seguras, con buena conversión y tecnológicamente maduras:

  • E‑commerce estándar con autenticación reforzada.
  • Enlaces de pago para operaciones remotas, como la solución PayGold de Redsys.

 

El caso de PayGold es especialmente claro:

  • El comercio envía un link de pago seguro al cliente.

  • El cliente paga como si fuera un e‑commerce normal.

  • Si corresponde, se aplica doble factor de autenticación.

  • El comercio no ve los datos de la tarjeta.

  • No hay tecleos manuales.

  • Y la transacción queda protegida.

Opciones pago vía email/SMS (PayGold Redsys)

 

¿Qué dice la normativa?

Bajo PSD2, los pagos MoTo están exentos de SCA por una cuestión técnica, no porque se consideren seguros. De hecho, al no tener trazabilidad robusta ni cifrado de extremo a extremo, están desalineados con los principios de seguridad exigidos por la EBA. Además, la responsabilidad del fraude recae en el comercio a pesar de que muchos lo desconocen.

  1. Normativa PSD2

  2. Q&A EBA sobre pagos MoTo

  3. Propuesta nueva directiva

  4. Propuesta nuevo reglamento

Todo apunta a que MoTo es un método de pago obsoleto, con riesgo regulatorio y con una experiencia totalmente fuera de los estándares actuales de seguridad.

Qué está haciendo Redsys

Redsys está impulsando junto a las principales Entidades bancarias de España medidas sectoriales para reducir su uso. Se busca limitar el número de comercios que lo aceptan y fomentar alternativas seguras.

Gracias a ello:

  • Solo el 4,3% de los comercios activos acepta MoTo (antes rondaba el 50%).

  • Solo el 1,0% de las nuevas altas incluye este método.

Esto reduce el riesgo global y permite detectar fraude con mayor precisión.

La pregunta es inevitable: ¿Tiene sentido seguir aceptando pagos por teléfono o correo teniendo la tecnología que tenemos hoy?

 

Set de buenas prácticas recomendadas para minimizar el riesgo

Si eres adquirente: Si eres titular:
Limitar MoTo en MCCs donde no sea coherente. Desconfía si te piden la tarjeta por teléfono o correo.
Restringir su uso en nuevas altas hasta verificar actividad genuina. Prioriza canales verificados y con pago autenticado.
Incentivar alternativas seguras como PayGold. Siempre que puedas, utiliza métodos con doble factor.